ali walo Ответов: 2

Я пытаюсь подключиться к базе данных SQL server, но она выдает ошибку. Вот код, который я пробовал :

Исключение типа "System.Data.SqlClient.SqlException" произошло в System.Data.dll но не был обработан в пользовательском коде
я застрял здесь, кон.Открыть();

Что я уже пробовал:




 Объект sqlconnection кон = новое sqlconnection("источник данных=рабочий стол-72CIIS5;начальный каталог=user_desk;идентификатор пользователя=СА;пароль=***********");

            Команда sqlcommand cmd и = новая команда sqlcommand("вставить в значения usertable ('" + текстовое поле textbox1.Текст + "','" + поле textbox2.Текст + "','" + textbox3 и.Текст + "','" + textBox4.Текст + "',)", кон);

            против.Открыть();
		    
                    

                    
                

                

                                            

                            

                                F-ES Sitecore
                                
                            

                            
Ваша строка подключения неверна.  Если вы посмотрите на фактическое сообщение об исключении, оно даст вам подсказку о том, что не так.


                        

                                    

            

            

                

                    
2 Ответов

                                            

                            
Рейтинг:
 0


                            

                                

                                    OriginalGriff
                                    
                                

                                

    Не делай этого так! Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.


Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:
SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.

Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.


Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?


И если вы исправите это, синтаксическая проблема с вашим SQL будет очень и очень очевидна:
using (SqlCommand cmd = new SqlCommand("INSERT INTO usertable VALUES (@P1, @P2, @P3, @P4, @p5,)", con)
   {
   ...



В дополнение:

1) всегда перечисляйте столбцы, в которые вы хотите вставить. Таким образом, изменения в вашей таблице (и столбцах идентификаторов) не испортят ваши данные.

2) Сделайте себе одолжение и прекратите использовать имена Visual Studio по умолчанию для всего - вы можете помнить, что "TextBox8" - это номер мобильного телефона сегодня, но когда вам нужно будет изменить его через три недели, вы это сделаете? Используйте описательные имена - например, "tbMobileNo", - и ваш код станет легче читать, более самодокументируемым, легче поддерживать - и на удивление быстрее кодировать, потому что Intellisense может добраться до "tbMobile" за три нажатия клавиш, где "TextBox8" занимает размышление и 8 нажатий клавиш...


                                

                            

                                                            

                                    

                                        Richard Deeming
                                        
                                    

                                    
Кроме того, подключение как sa это особенно опасно. 🤦‍♂️


                                

                                                            

                                    

                                        ali walo
                                        
                                    

                                    
так как же я это исправлю, пожалуйста, скажите мне?


                                

                                                            

                                    

                                        OriginalGriff
                                        
                                    

                                    
Используйте параметризованные запросы! Google покажет вам, как это сделать ... 


                                

                                                            

                                    

                                        OriginalGriff
                                        
                                    

                                    
И проверьте строку подключения (они также не должны быть жестко закодированы). Это может помочь:

https://www.codeproject.com/Tips/1198443/Simple-SQL-Connection-String-Creation


                                

                                                    

                                            

                            
Рейтинг:
 0


                            

                                

                                    M.Kamran Asim
                                    
                                

                                

    Похоже, вы открываете соединение не в том месте. 


шаги, которые нужно выполнить


1. Создайте Sql-Соединение

2. Откройте соединение

3. назначьте соединение команде.


в то время как в вашем случае вы меняете местами 2 и 3.


Более того используйте параметры вместо построения запроса


вот пример для вас

using (connection = new SqlConnection(connectionString))
{
  connection.Open();
  var command = new SqlCommand();
  command.CommandText = @"
     INSERT INTO [dbo].[Product]
           ([ProductId]
           ,[Name]
           ,[Description])           
     VALUES
          (@Pid,
           @Name,
           @Desc)";
 command.Connection = connection;
 command.Parameters.Add(new SqlParameter("@Pid", SqlDbType.VarChar, 100)).Value = product.ProductId;
 command.Parameters.Add(new SqlParameter("@Name", SqlDbType.VarChar, 100)).Value = product.Name;
 command.Parameters.Add(new SqlParameter("@Desc", SqlDbType.VarChar, 255)).Value = product.Description;                
 command.ExecuteNonQuery();
}